合规功能
极狐GitLab 合规性功能可确保您的极狐GitLab 实例符合常见的合规性标准,并且可用于多种付费版本。
极狐GitLab 中的安全功能也可以帮助您满足相关的合规性标准。
策略管理
由于组织标准或监管机构的要求,组织具有独特的政策要求。以下功能可帮助您定义规则和策略,遵守工作流程要求、职责分离和安全供应链最佳实践:
- 凭证库(实例):使用凭证库,极狐GitLab 管理员可以跟踪实例中所有用户使用的凭证。
- 精细的用户角色和灵活的权限(实例、群组和项目):使用五种不同的用户角色和外部用户来设置管理访问和权限。根据人员的角色设置权限,而不是对仓库的读取或写入权限。 不要与只需要访问议题跟踪器的人共享源代码。
- 合并请求批准(实例、群组和项目):配置合并请求所需的批准。
- 推送规则(实例、群组和项目):控制推送到您的仓库。
- 使用受保护分支和自定义 CI/CD 配置路径进行职责分离(项目):用户可以利用极狐GitLab 跨项目 YAML 配置,来定义代码部署者和代码开发者。
| 功能 | 示例 | 群组 | 项目 | 描述 |
|---|---|---|---|---|
| 凭据库 | Yes | No | No | 追踪极狐GitLab 实例中所有用户使用的凭据。 |
| 精细化的用户角色 和灵活的权限 |
Yes | Yes | Yes | 管理外部用户的 5 种不同用户角色的访问和权限控制以及配置。根据用户的角色设置权限,而不是对仓库进行读或写。不要给仅需要议题追踪的用户分享代码。 |
| 合并请求批准 | Yes | Yes | Yes | Configure approvals required for merge requests. |
| 推送规则 | Yes | Yes | Yes | 控制对仓库的推送。 |
| 使用保护分支 实现职责分离 和自定义 CI/CD 配置路径 |
No | No | Yes | 利用极狐GitLab 跨项目的 YAML 配置来定义代码的部署者和开发者。在部署项目的职责分离和项目的职责分离中查看如何使用此设置来定义这些角色。 |
| 安全策略 | Yes | Yes | Yes | 配置自定义的策略,它们需要给予策略规则的合并请求审核,或为了满足合规需求,需要在项目的流水线中强制执行安全扫描。策略可以针对特定项目执行,也可以为群组或子群组中的所有项目强制执行。 |
合规的工作流程自动化
对于合规团队而言,能够确信自身所设置的管控措施和要求准确无误至关重要,而且他们也需要保持这些设置的正确性。一种方法是定期手动检查设置,但这容易出错且耗时。更好的方法是使用单一事实来源设置和自动化,来确保合规团队配置的任何内容都保持配置并正常工作。 以下功能可以帮助您自动化合规性:
| 功能 | 实例 | 群组 | 项目 | 描述 |
|---|---|---|---|---|
| 合规框架 | No | Yes | No | 项目必须要遵循的合规需求类型描述。 |
| 合规流水线 | No | Yes | No | 为具有给定合规框架的任意项目定义流水线配置。 |
| 合并请求审批策略审批设置 | Yes | Yes | Yes | 在您的极狐GitLab 示例或群组内,强制执行合并请求审批策略,要求多个审核人并覆盖所有受强制实施该策略的群组或项目中的各项设置。 |
审计管理
任何合规计划的一个重要部分是能够回过头来了解发生了什么、何时发生以及谁负责。这在审计场景,以及在问题发生时了解问题的根本原因时很有用。
同时拥有低级别的原始审计数据列表以及高级的审计数据摘要列表是很有用的。在这两者之间,合规团队可以快速确定是否存在问题,然后深入研究这些问题的细节。 以下这些功能可以帮助提供对极狐GitLab 的可见性,并审计正在发生的事情:
| 功能 | 示例 | 群组 | 项目 | 描述 |
|---|---|---|---|---|
| 审计事件 | Yes | Yes | Yes | 为了保持代码的完整性,审计事件使管理员能够在高级审计事件系统中,查看在 GitLab 服务器中所做的任何修改,以便您可以控制、分析和跟踪每个更改。 |
| 审计报告 | Yes | Yes | Yes | 根据已发生的审计事件创建和访问报告。使用预先构建的 GitLab 报告或 API 来构建您自己的报告。 |
| 审计员用户 | Yes | No | No | 审计员用户是被授予对极狐GitLab 实例上所有项目、群组和其它资源的只读访问权限的用户。 |
| 合规报告 | No | Yes | Yes | 通过合规标准继承报告和违反报告来快速了解您组织的合规状况。集中式的管理您的群组合规框架。 |
其他合规功能
这些功能对于合规要求也非常有帮助:
| 功能 | 示例 | 群组 | 项目 | 描述 |
|---|---|---|---|---|
| 项目的所有用户邮箱 或群组、整个服务器的所有用户邮箱 |
Yes | No | No | 基于项目或群组关系的用户邮件群组,或使用极狐GitLab 实例的用户邮箱。这些邮箱对于维护计划和升级非常有帮助。 |
| 强制服务条款接受 | Yes | No | No | 通过阻止极狐GitLab 流量来强制您的用户接收新的服务条款。 |
| 外部的状态检查 | No | No | Yes | 在开发期间与您已经在使用的第三方系统对接,以确保您始终保持合规。 |
| 生成用户权限报告 | Yes | No | No | 生成一个报告,来列出实例上群组和项目中所有用户的访问权限。 |
| 许可证审核策略 | No | No | Yes | 为您的许可证查找依赖。这能够让您确定您项目依赖的许可证是否和您项目的许可证兼容。 |
| 将项目成员关系锁定至群组 | No | Yes | No | 群组拥有者可以阻止新成员被添加到群组的项目中。 |
| LDAP 群组同步 | Yes | No | No | 自动同步群组和管理 SSH key、权限和认证,以便您可以更好的聚焦在项目的构件上,而不是配置您的工具。 |
| LDAP 群组同步过滤器 | Yes | No | No | 为基于过滤器的 LDAP 同步赋予更多灵活性,意味着您可以利用 LDAP 共享来映射极狐GitLab 权限。 |
| Linux 软件包安装支持 日志转发 |
Yes | No | No | 将您的日志转发至集中式系统。 |
| 限制 SSH Keys | Yes | No | No | 控制用于访问极狐GitLab 的 SSH Key 的使用技术和长度。 |